De gebruikte DDoS-technieken waren dusdanig geavanceerd en gevarieerd dat GitHub, en met name twee specifieke Chinese anti-censuur-projecten, dagenlang onbereikbaar waren. De aanvallers maakten onder meer grootschalig misbruik van de JavaScript-analytics en advertentietool van Baidu die op veel Chinese websites draait. Ergens op het Chinese netwerk is deze analyticscode verwisseld voor code die buitensporig veel dataverkeer afvuurde op GitHub.

Een duidelijk geregisseerde zaak, stelt software engineer Bill Budington van digitale rechtenorganisatie EFF, aangezien de Baidu-modificatie privileged access tot backbone routers vergde. "En alleen mogelijk omdat de sites waarop de tool draaide geen default encryptie gebruiken. Zonder HTTPS kan iedereen die tussen de webserver en de eindgebruiker zit content willekeurig modificeren", schrijft hij in een diepere analyse van de aanval.

Iedereen moet meewerken

Net als Google zijn de EFF en andere privacygroepen groot voorstanders van internetbreed HTTPS. De machtige zoekmachine past daarvoor zelfs zijn algoritme aan, om HTTPS-loze sites te straffen. Maar de adoptie kan lastig zijn en ingewikkeld wanner website content van andere bronnen, zoals advertentienetwerken, draaien. Zij zullen ook mee moeten in deze omslag.

Net als in dit geval Baidu, dat niet beschouwd is als medeplichtig, maar ervoor had kunnen zorgen dat zijn analytics-script gebruik had gemaakt van HTTPS.

Lees ook:

HTTPS-loze sites krijgen straf van Google

Versleutel het web, met één klik en gratis